Attenti al phishing

Al fine di difenderli anche contro i pericoli in agguato nei loro movimenti in rete, il TCS ha aderito alla SISA Swiss Internet Security Alliance.

«STOP. THINK. CONNECT.» è un’iniziativa internazionale promossa dall’APWG (Anti-Phishing Working Group) e presentata in Svizzera dalla Swiss Internet Security Alliance.

«Phishing» deriva dall’inglese «fishing» e significa per l’appunto «pescare». Si tratta di un tentativo di frode messo in pratica tramite mail o siti fittizio per carpire informazioni riservate e sensibili quali password o credenziali bancarie. Le potenziali vittime rischiano un duplice danno: la perdita sia dei loro dati personali sia di denaro.

Un attacco di phishing inizia con l’invio di una mail che contiene un offerta allettante o richiede un’azione sollecita come:

• compilare un modulo ingannevole
• cliccare su un link che conduce ad un sito fasullo
• aprire un allegato infetto.

Queste mail hanno sembianze familiari e spesso utilizzano loghi di aziende rinomate per ottenere la vostra fiducia.

• Non rispondete mai a richieste di password, codici di sicurezza, PIN ecc.
• Aprite solo allegati ad email provenienti da indirizzi noti o fidati.
• Diffidate di email che sollecitano «azioni urgenti».
• Diffidate di email con formule generiche quali «Caro cliente» o «Gentile Signora/Egregio Signore».
• Diffidate di email con errori di grammatica o ortografia.
• Diffidate di email provenienti da persone note ma che utilizzano un indirizzo insolito.
• C’è un link? Scorrete il mouse sul collegamento ipertestuale per controllare la destinazione effettiva che apparirà nella barra degli indirizzi del vostro browser.

Avete individuato un messaggio o sito fraudolento? Contribuite a fare di internet un luogo sicuro. Segnalate l’indirizzo sospetto a www.antiphishing.ch.

Non fatevi prendere dal panico, può succedere a chiunque. A seconda della natura dei dati rivelati, ecco come procedere:

• Contattate la vostra banca e bloccate la carta di credito o, se opportuno, il conto per evitare che serva per operazioni illecite.
• Informate il presunto mittente (azienda o organizzazione) dell’attacco sferrato.
• Cambiate tutte le vostre password che potrebbero essere state rubate. Ad esempio se vi avessero carpito la password per la vostra email chiedetevi quali altri codici potrebbero finire nelle mani dei truffatori attraverso l’accesso al vostro account.
• Sorvegliate tutti i vostri conti online (Amazon, Facebook, ecc.) e rapportate qualsiasi mossa o accesso sospetto. Per sicurezza, cambiate le relative password.
• Aggiornate il vostro programma AntiVirus ed effettuate una scansione del vostro pc.

Mettete alla prova le vostre conoscenze in materia di lotta al phishing con il quiz proposto da eBanking ma sicuro!: www.ebas.ch/phishingtest

Né la vostra banca, né nessun’altro operatore serio vi chiederebbe di indicare password, codici di accesso o PIN per email. Qualora dubitaste dell’autenticità di un messaggio procedete come segue:

• chiamate l’azienda o la banca;
• passate in sede ed informatevi di persona;
• spedite un’email ad un indirizzo conosciuto (NON rispondere in nessun caso al messaggio sospetto).
  

Vi sono dei file maligni capaci di installare un virus sul Vostro computer appena li aprite. Siate quindi prudenti e restii ad aprire degli allegati, per quanto invitanti. Ad esempio se ricevete una mail con la fattura per qualcosa che non avete mai ordinato oppure un avviso di ritiro per un pacchetto a sorpresa. I truffatori sanno bene come invogliarvi ad azioni impulsive. Attenzione quindi se ricevete posta sospetta. In caso di dubbio conviene cancellare la mail senza neanche aprirla.

Non reagite a messaggi che cercano di mettervi sotto pressione, spingendovi ad agire d’urgenza e senza riflettere con il pretesto di un rischio impendente quale la soppressione del vostro conto (e-mail, bancario o altro) a seguito di una violazione di sicurezza. Per evitarlo, basterebbe modificare la vostra password con un modulo allegato. Ignorate qualsiasi richiesta riguardante password, codici d’accesso, PIN ecc.

Di norma un attacco di phishing non è mai rivolto ad una singola persona, bensì consiste nell’invio massivo di una mail truffaldina a migliaia di utenti. Ecco perché ci si indirizza ad un destinatario anonimo. Ricordate che la vostra banca o il fornitore presso cui siete soliti acquistare online vi conosce per nome e si rivolgerebbe direttamente a voi in termini personali.

Un attacco di phishing non punta alla qualità quanto piuttosto alla quantità. Raramente il messaggio è formulato con cura, spesso contiene degli errori di ortografia oppure utilizza traduzioni grossolane. Va da sé che la vostra banca e qualsiasi azienda che si rispetti non invierebbe mai una comunicazione scritta male o piena di errori.

Talora i phisher si mascherano per farvi cadere nell’inganno, utilizzando il logo della vostra banca oppure del vostro fornitore preferito. Accertatevi che l’indirizzo del mittente, banca o online shop corrisponda a quello normalmente usato per contattarvi.

La maggior parte dei messaggi di phishing utilizza un link fasullo per trascinarvi su un sito web ingannevole o indurvi ad installare un virus sul vostro computer. In genere questi link sono molto lunghi. Per non destar sospetti, i phisher utilizzano degli shortlink oppure un link text diverso che nasconde la destinazione reale. Non fate clic sul link bensì scorretevi sopra con il mouse per far apparire l’effettiva url.